Эксперт: кража паролей LinkedIn стала возможной из-за неосторожности сотрудников соцсети
Недавно социальная сеть LinkedIn подтвердила информацию о компрометации паролей 6,5 млн пользователей сайта.
Файл с данными появился в общем доступе 5 июня на российском хакерском портале Insidepro.com, специализирующемся на поиске способов восстановления паролей через хэш. Хакер заявил, что ему также известны и имена «жертв», однако разглашать их он не собирается.
Николай Федотов, главный аналитик компании InfoWatch считает, что сам факт не слишком взволновал айтишную общественность, хотя новость о ней разлетелась мгновенно. Специалисты знают, что монетизировать линкединовский аккаунт невозможно, соответственно, на черном рынке этот товар не купят. Поэтому айтишники нынче ночью не торопились бежать и менять свои пароли, а скачивали себе утекшую базу, рассматривали её, пробовали брутфорс и перебор по словарям, степенно обсуждали стойкость хешей и возможности их массового обращения.
«Наибольшее возмущение общественности вызвал тот факт, - продолжает Федотов. - Что пароли этой «соцсети профессионалов» хешировались не профессионально - т.е. без использования соли (добавки к хешируемому значению). С солью обратить хеш-функцию было бы немного труднее. А ресурсов это почти не занимает. Данное упущение, согласно общему мнению, не делает чести разработчикам системы, Скорее всего, что и инцидент произошел из-за подобной недоработки, а не в результате направленных или неосторожных действий сотрудников соцсети. Для нас, разработчиков DLP-систем, эта разница принципиальна».
© CNews